近日，在世界工業互聯網大會——工業互聯網安全分論壇上，中國信通院安全研究所柯皓仁出席會議并發表《工業互聯網安全發展新形勢展望》專題演講。

我國制造業經歷了幾十年的一個發展歷程，現在已經全面進入到數字化的新階段。2017年以后，我國在推進工業互聯網發展的過程中，取得卓越成效。但同時，在安全方面，仍然存在一些問題亟待解決。新基建發展戰略提出后，工業互聯網的發展再一次加速，形成新技術加速融合、新生態加速形成的良好局面。

工業互聯網攻擊的兩大特點

柯皓仁表示，互聯網攻防從之前到現在發生了很大的變化。過去，黑客主要針對的是個人隱私，是以經濟行為作為目的的攻擊。而如今隨著工業信息化的發展，工業領域里發生了很多網絡安全事件。互聯網攻擊已經由原來針對經濟目的轉變為針對一些特定組織，造成一系列社會安全以及國家安全事件。工業互聯網安全事件近幾年發生較多，安全形勢不容樂觀，針對工業互聯網的攻擊主要表現為以下兩類：第一個是攻擊的專業化。現在的攻擊手段日趨復雜，directadmin漢化，表現為工具化、規模化、自動化；攻擊類型從原來的短時突發攻擊發展到現在的高級別、持久性攻擊，其中也包括現在針對特定工業場景，特定系統，特定設備進行專業化的一種攻擊。第二個是攻擊行為的國家化。現在很多大型公共事件可能會被作為一些國家之間網絡安全的直接對抗，亞洲服務器，被視為第三戰場。針對國家重要能源電力等領域的攻擊，關聯比較嚴重。

工業互聯網五方面安全風險

在新基建發展戰略提出以后，我國工業互聯網建設發展按下了快進鍵。產業發展的同時，安全風險也隨著進一步增大。IT技術和工業領域深度融合放大了工業互聯安全保障能力與不斷提高的安全需求之間的差距。IT，OT融合以后，暴露出很多安全風險。柯皓仁總結為五個方面：第一，是傳統網絡安全的防護機制需要升級。我國工業互聯網是在強調人機數據的全面互聯，把原來封閉的OT網絡進行打通，導致邊界逐漸模糊。傳統的基于邊界防護機制，難以有效應對現在新的安全風險。第二，是終端設備安全資源相對不足。傳統的一些PC，包括智能設備，智能裝備，已經成為我國互聯網安全的重災區。第三，是存量的控制系統協議存在很多安全漏洞。包括可能存在的直接明文去傳輸相關的控制指令，嚴重影響生產安全。另外，就是整個供應鏈安全不可控，存在相應的安全隱患。第四，是工業互聯網平臺安全基礎設施較弱。我國工業互聯網防護手段比較初級，實際上有相當一部分企業，平臺安全意識相對比較淡薄。第五，是工業數據的泄露風險較大。過去，沒有專門去針對做相應安全保護的防護措施，且現在工業數據可能應用的點越來越多，針對性的安全防護措施比較缺乏，發生了很多類似的泄露事件。

工信部發布安全指南 為工業互聯網安全護航

目前，很多安全廠商還是以互聯網思維去做工業互聯網安全，這種體系存在一定缺陷。對于提升安全防護能力，發現相應的安全風險和安全漏洞方面仍存在不足。為應對這一問題，去年年底，工信部發布《工業互聯網企業網絡安全分類分級指南（試行）》（以下簡稱指南），從國家戰略層面上對工業互聯網安全發展提供基礎支撐。指南是落實安全防護，提升安全團隊的重要依據和實際的抓手。目前隨著近幾年國家頂層設計逐漸完善，一部分行業對工業互聯網安全工作的重視，使得整個管理體系逐漸完善。用戶對公共安全從一個不接受不認可的狀態轉變為如今網絡安全意識已經基本形成。柯皓仁安全管理指南的一些定位和目標進行分析。他指出，安全管理者是以企業為主體，以工業互聯網企業的網絡安全分類分級為核心，去調動地方主管部門、產業協會、第三方機構的多方力量去加強企業的差異化，精細化的管理，推動整個企業落實網絡安全的主體責任，提升相應的能力和水平。指南中的實施附件中，配套的標準規范對推動形成國標，社會規范具有重要的作用，其中并對工業數據、安全防護規范進行單獨的設定。